Группа исследователей из Университета Саннио (Италия) продемонстрировала насколько легко можно сделать известный вирус для Android «белым и пушистым». Написать вредоносный код, который обойдет защиту, очень не просто, но есть методы позволяющие замаскировать вирус, сгенерировав новый файл.
Разница между созданием и генерацией такой программы состоит в том, что во втором случае «создатель» программы не напишет и строчки кода, а просто нажмет кнопку «создать».
Исследователи создали движок, который использует до 8 вариантов создания таких мобильных скриптов, которые меняют форму кода, не затрагивая поведения самих вредоносных программ.
Разработчики назвали свой движок «Прачечная вирусов».
Движок разработан исследователем вредоносных программ для Android и работает по таким возможным сценариям:
• Разборка и повторная сборка (Disassembling & Reassembling).
• Перепаковка (Repacking)
• Смена имени пакета (Changing package name)
• Переименование идентификатора (Identifier Renaming)
• Кодирование данны (Data Encoding)
• Непрямой вызов (Call indirections)
• Перестановка кода (Code Reordering)
• Вставка мусорного кода (Junk Code Insertion)
• Многосоставные изменения (Composite Transformations)
Исследователи использовали свой движок для модификации 5560 вредоносных программ, которые 57 производителей защиты от вредоносных программ, определили как опасные. Разработчики протестировали свое вредоносное решение на 57 хорошо известных антивирусных программах. Тем не менее, после модификации все эти антивирусы уже не распознали большинство уже известных им, но немного замаскированных вирусов.
«Будут ли эффективны базовые алгоритмы обнаружения в мобильной среде для уже известных сигнатур? Мы разработали скрипт, который применяет небольшие изменения в коде андроид-приложений. Тогда мы применили этот модификатор в реальных, известных вирусах, и отправили приложения на веб-сайт www.virustotal.com до и после модификации – и отметили результаты своих тестов «до» модификации и «после». – сказал профессор Корадо Визаджио, руководитель команды — «Результаты – впечатляющие: антивирусы не смогли распознать немного измененные вирусы (хотя до этого их распознавали)»
Тест показал, что некоторые вирусы были распознаны антивирусами и после модификации – но это была меньшая часть.
— В этой таблице – в первой колонке: производители защиты, во второй – количество распознанных вирусов (до трансформации), и в третьей – число распознанных вирусов уже после трансформации (красным).
Движок для экспериментов с файлами «Прачечная вирусов» был реализован в научных целях на Open Source лицензии и доступен на GitHub. Подробности теста (на английском).
Такой тест поднял дискуссию о возможности ограничить генерацию вредоносного ПО, так как эксперты показали что можно создать вирусы не написав и строчки когда, используя лишь слегка видоизмененные, уже известные вирусы.
Кроме того, эти исследования показали насколько меняется уязвимость ИТ с изменением среды, в данном случае речь идет о мобильной среде (куда, как предсказывает Google, все движется), и насколько легко можно продуцировать «новые» вирусы, всего лишь поменяв условные «запятые» в коде, или сделав лишь очень незначительные изменения – получаем вредоносное ПО, которое не распознает большая часть антивирусов, которые уже знакомы с «родительским» кодом вирусов.
Как говорится: новое – хорошо забытое старое!
По мотивам сообщения
Комментарии (12)
vilgeforce
04.10.2016 15:05+4«антивирусы для Android могут не увидеть вирус» открытие сделали? Любой (!) антивирус может не увидеть вирус. Те кто этого не знают — дорого платят.
sashaboyko
04.10.2016 15:45Согласен что не самое лучшее название — поменял, но по сути сообщение не об этом.
dns78
05.10.2016 11:03Почему здесь использовано слово «вирус»? Вдруг откуда ни возьмись, появились технологии самораспространения «зараженных» .apk прям вот с телефона? Эти вирусы уже научились заражать другие приложения, э?
Andronas
05.10.2016 11:09+1Ха, некоторые мои знакомые (работающие в ИТ!) твердят что вирусы бывают только под виндой, пытаться с ними спорить, объяснять что вирусы (в их классическом понимании) могут быть написаны для любой ОС практически бесполезно.
nvv
05.10.2016 11:23+1Системы для обфускации кода существуют для большинства платформ, их влияние на антивирусы известно. Антивирусы используют множество методик, не только сигнатурный, представленный на вирустотал.
О чем исследование?
teecat
05.10.2016 15:46Интересно бы построить частоту появления таких статей на Хабре. Месяца вроде не прошло
LenLord
06.10.2016 13:34+1Прочитал данное исследование (оригинал) и сидел в недоумении. Вроде серьезно подошли к делу, но ложноположительные срабатывания неучтены (отсюда появляются вендоры с количество детектов «до» меньше, чем количество детектов «после»).
И выходит, что антивирусы, которые детектят любую попытку обфускации (а такую применяют многие разработчики, чтобы уберечь свой код или какие-то данные) стоят в ранге выше лишь потому, что «правильный» малварный детект сменился на ложный детект «обфускация».
Данный подход в корне неверный, так как разработчик желающий спрятать критичную для него информацию может запросто получить детект и проблемы в виде 1-звездочных рейтингов в гугл плей.
Так как я был уверен в этом факте, то взял приложение, которое гарантировано чистое и не несёт никакого малварного функционала и прогнал через опен-сорсную «прачечную» (доступную по ссылке в статье) и, затем, проверил на вирустотале оба получившихся файла.
Результаты «до» (0/55)
Результаты «после» (9/55)
Эксперимент показывает необъективность таблицы приведенной в статье.
ЗЫ. Если кому-то интересно, то могу провести исследование на 1-5 тысячах чистых апк, которые будут проанализированы до и после прогона через «прачечную».
DrPass
А каким образом получилось, что после трансформации программы вверху списка нашли БОЛЬШЕ вирусов, чем было до трансформации?
izzholtik
Скорее всего, условно-ложноположительные срабатывания на упаковщик.